TomTom moet beter toestemming vragen

Afbeelding: TomTom Urban Rider van John Karakatsanis | Licentie: CC BY-SA

TomTom heeft in haar navigatieproducten haar klanten onvoldoende duidelijk om toestemming gevraagd voor de verwerking van de persoonsgegevens.

Het CBP schrijft in haar rapport:

TomTom verzamelt via de offline versie van de apparaten historische geolocatiegegevens van gebruikers. Via de online versie en de smartphone applicatie verzamelt TomTom realtime geolocatiegegevens van gebruikers. Via de online apparaten verzamelt TomTom ook historische geolocatiegegevens.

Ten aanzien van historische geolocatiegegevens vraagt TomTom de gebruikers van offline en online apparaten om voorafgaande toestemming voor het verzamelen van anonieme gegevens om haar producten te verbeteren. TomTom verwerkt persoonsgegevens, en niet alleen anonieme gegevens. De toestemmingsvraag is om die reden op dit punt onvoldoende specifiek. In haar informatie aan gebruikers maakt TomTom niet of onvoldoende begrijpelijk dat het apparaat gedetailleerde historische geolocatiegegevens opslaat en bewaart en dat TomTom dit bestand verzamelt als de gebruiker contact legt met de TomTom servers.

Het feit dat TomTom technische en organisatorische maatregelen heeft getroffen om identificatie van individuele personen zoveel mogelijk te voorkomen, leidt niet tot de conclusie dat er geen sprake is van persoonsgegevens. TomTom moet, gelet op haar technische (decryptie)mogelijkheden en de huidige rekenkracht van computers, in staat worden geacht het bestand met geolocatiegegevens ‐ zonder onevenredige inspanning ‐ te ontsleutelen en te kunnen koppelen aan overige identificerende gegevens van de betrokkene (zoals naam, e‐mailadres etc.).

Ten aanzien van realtime geolocatiegegevens vraagt TomTom de gebruikers van online apparaten in het geheel niet om toestemming voor het verzamelen en verwerken van de combinatie van geolocatiegegevens met bijkomende gegevens als serienummer en accountnaam. Bij de online versie ziet de betrokkene alleen een algemene verwijzing naar de TomTom privacy‐verklaring als hij een account aanmaakt, dus op het moment dat hij het apparaat via een (eigen) computerverbinding met de TomTom servers verbindt. Via een privacy‐verklaring kan echter geen toestemming worden verkregen voor de verwerking van persoonsgegevens. Bij de smartphone applicatie geeft TomTom voorafgaand aan de aanschaf weliswaar enige informatie, maar wordt de betrokkene niet expliciet geïnformeerd over bijvoorbeeld welke gegevens er met welke frequentie naar TomTom worden verzonden.

TomTom handelt in strijd met artikel 8 van de Wbp door het ontbreken van een grondslag.